Alerte smishing : de faux SMS INPS volent vos documents (carte d’identité, fiches de paie, selfie) — comment ne pas se faire piéger

Campagne de smishing usurpe l’INPS : comment se protège‑t‑on face au vol massif de données personnelles ?

Une nouvelle opération de smishing cible actuellement les citoyens italiens en usurpant l’identité de l’INPS (Istituto Nazionale della Previdenza Sociale). Le CERT‑AgID a reçu une alerte de l’institut et signale une campagne sophistiquée : des SMS et messages contenant un lien renvoient vers un faux site imitant parfaitement l’INPS, dans le but de collecter des documents et données sensibles. Voici ce qu’il faut savoir, comment repérer l’arnaque et quelles démarches entreprendre si vous pensez être compromis.

De quoi s’agit‑il exactement ?

Le mécanisme est classique mais efficace : la victime reçoit un SMS l’invitant à « compléter un formulaire » pour bénéficier d’une prétendue « erogazione statale ». Le lien conduit à une page qui reproduit visuellement l’identité de l’INPS (logo, couleurs, mentions légales). Sous la pression d’un message indiquant que le formulaire doit être rempli « dans la journée », l’utilisateur est incité à fournir rapidement des informations confidentielles.

Type d’attaque : smishing (phishing par SMS / messagerie).

Outils utilisés : faux site web reproduisant l’identité visuelle d’INPS.

Pression temporelle : message incitant à agir immédiatement pour réduire la vigilance.

Quelles données sont demandées ?

La sophistication de cette campagne mérite attention : il ne s’agit plus seulement d’un nom et d’un numéro de carte d’identité. Les cybercriminels demandent le téléchargement de plusieurs documents et informations qui, assemblés, permettent de monter des fraudes financières ou usurper une identité :

Documents personnels : carte d’identité, carte sanitaire, permis de conduire.

Papiers professionnels et fiscaux : bulletins de salaire, CUD (certificat de rémunération), position de travail (type de contrat, date d’embauche, employeur).

Selfie : photo de l’utilisateur avec document, souvent demandée pour « vérification d’identité ».

En collectant ces éléments, les attaquants reconstituent un profil complet, utilisable pour demander des prêts, ouvrir des comptes bancaires ou valider des opérations au nom de la victime.

Comment détecter le faux site ?

Plusieurs signes permettent d’identifier l’arnaque, même si l’apparence du site est très convaincante :

Vérifier l’URL : un site authentique de l’INPS utilise des domaines officiels. Si l’adresse ne correspond pas exactement, il s’agit d’un faux.

Méfiance face à l’urgence : les injonctions à remplir « dans la journée » sont un classique pour pousser à l’erreur.

Demandes excessives : tout organisme public officiel demandant des documents sensibles par un simple formulaire web doit éveiller la suspicion.

Que faire si vous avez cliqué ou transmis des documents ?

Si vous avez fourni des informations, il est important d’agir rapidement pour limiter les dommages :

Contactez immédiatement votre banque et signalez la possible usurpation d’identité pour surveiller ou geler les comptes.

Déposez une plainte auprès des autorités compétentes et signalez l’arnaque au CERT‑AgID (ou l’équivalent local) pour qu’ils bloquent le domaine et avertissent d’autres victimes potentielles.

Surveillez vos comptes et vos dossiers de crédit : inscription à un service de surveillance peut détecter des ouvertures de comptes frauduleuses.

Changez vos mots de passe et activez l’authentification à deux facteurs (2FA) partout où c’est possible.

Les mesures prises par les autorités

Le CERT‑AgID a demandé la fermeture du domaine frauduleux ; hébergé chez OVHcloud, le site a été rendu inaccessible suite à cette action. Toutefois, la fermeture d’un nom de domaine n’élimine pas le risque : des clones ou des adresses alternatives peuvent apparaître très rapidement. La vigilance doit donc rester de mise.

Prévention : bonnes pratiques pour se protéger

Ne cliquez jamais sur un lien reçu par SMS ou messagerie, même si l’expéditeur semble légitime. Préférez accéder au service via le site officiel ou l’application officielle.

Vérifiez systématiquement l’URL et recherchez le certificat de sécurité (HTTPS) — mais attention : HTTPS seul ne garantit pas l’authenticité du site.

Méfiez‑vous des demandes de documents sensibles par formulaire simple : les administrations utilisent des canaux sécurisés et identifiables.

Informez les proches, notamment les personnes âgées, souvent cibles privilégiées de ce type d’arnaque.

Pourquoi ces attaques sont si lucratives

Deux facteurs expliquent l’efficacité de ce type d’escroquerie :

L’attrait du « message officiel » : un message semblant provenir d’une administration rassure et incite à la confiance immédiate.

La richesse des données demandées : en combinant documents d’identité, justificatifs de revenus et informations professionnelles, les fraudeurs maximisent leurs chances de succès pour la fraude financière.

Rôle des entreprises d’hébergement et des plateformes

L’hébergement rapide, la prise en charge des signalements et la coopération entre acteurs (hébergeurs, autorités, instituts publics) sont essentiels pour limiter la propagation des campagnes de smishing. La fermeture du domaine chez OVHcloud illustre l’un des maillons de la réponse, mais la réactivité des plateformes de messagerie et des opérateurs télécom est également déterminante pour bloquer l’envoi massif de SMS frauduleux.

Face à la montée des attaques ciblant les administrations et services sociaux, l’éducation des utilisateurs et la mise en place de procédures d’alerte et de réaction coordonnées restent des priorités pour limiter l’impact des fraudes à grande échelle.